Выпуск hostapd и wpa_supplicant 2.11, реализации стека беспроводных протоколов

После двух с половиной лет разработки опубликован выпуск hostapd/wpa_supplicant 2.11, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2, WPA3 и EAP. В состав набора входит приложение wpa_supplicant для подключения к беспроводной сети в роли клиента и фоновый процесс hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Основные изменения в новых выпусках hostapd и wpa_supplicant:

• Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).
• Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как «Wi-Fi Easy Connect», а также предоставлена возможность передачи параметров с настройками Wi-Fi при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.
• Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.
• В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol — Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol — Authentication and Key Agreement), появилась поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.
• Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals — Authentication and Key Management) с переменным размером ключей.
• Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.
• В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии «secure ranging» для безопасного определения расстояния между двумя Wi-Fi устройствами.
• Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.
• Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции «ssid_protection=1» и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.
• Изменения, специфичные для hostapd:
  • Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед использованием с целью проверки его занятости радарной системой.
  • В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность запроса пароля у RADIUS-сервера.
  • Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3).
  • В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт пропускной способности и типов каналов.
  • Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей.
  • Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.
• Изменения, специфичные для wpa_supplicant:
  • В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера.
  • Для TLSv1.3 улучшена поддержка EAP-TLS.
  • Усилена защита от DoS-атак при использовании PMF (Protected Management Frames).
  • Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS (Service Management Entity/Basic Service Set) -драйвером.
  • Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами.
  • Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети.
  • Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля.
  • Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами.
  • Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.

Источник: opennet.ru